auひかりのホームゲートウェイ「HGW-BL1500HM」に複数の脆弱性、最新版ファームウェアへの更新を

HGW-BL1500HM

　KDDIが「auひかり」のホームゲートウェイとして提供する「HGW-BL1500HM」に複数の脆弱性があるとして、同社および脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。最新版のファームウェアに更新することで対策できる。

　対象となるのは、HGW-BL1500HMのファームウェアバージョン「002.002.003」以前。なお、同製品はファームウェア自動更新機能を備えており、特に操作をしなくても3月18日に配信された最新バージョンのファームウェア「002.004.010」に更新されるとしている。念のため、自宅で使用中の製品バージョンを確認しておくことが望ましい。

　情報が公開された脆弱性は、次の6点。

・ニックネーム登録画面における格納型クロスサイトスクリプティング（CVE-2025-27567）
・USBストレージファイル共有機能における格納型クロスサイトスクリプティング（CVE-2025-27574）

　以上2点に関しては、当該製品のLAN側からのみアクセス可能な設定画面や機能を利用しているユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性がある。CVSS v3のスコアは5.4と3.6。

・USBストレージファイル共有機能のファイル／フォルダ一覧表示処理におけるパストラバーサル（CVE-2025-27716）
・USBストレージファイル共有機能のファイルアップロード処理におけるパストラバーサル（CVE-2025-27718）
・USBストレージファイル共有機能のファイルダウンロード処理におけるパストラバーサル（CVE-2025-27726

　以上3点に関しては、LAN側から当該製品の特定機能への不正アクセスによって、当該製品上のファイルを窃取・改ざんされたり、任意のコードを実行される可能性がある。CVSS v3のスコアは6.5、8.8、2.1。

・USBストレージファイル共有機能のファイル削除処理におけるパストラバーサル（CVE-2025-27932）

　当該デバイス上のファイルを削除されたり、サービス運用妨害 (DoS) 状態にされる可能性がある。CVSS v3のスコアは8.1。